امروزه مبارزه با بدافزارها شکل دیگری به خود گرفته است.
با توجه به اینکه برخی از بدافزارها بارها و بارها مورد استفاده قرار می گیرند کارشناسان امنیت راهی برای شناسایی این دسته از بدافزارها پیشنهاد می دهند.
چرا هکرها چند بار از یک کد استفاده می کنند؟
هدف مهاجمان ایجاد بیشترین تأثیر و حداقل تلاش ممکن است. مانند هر توسعه دهنده دیگری، هکرها هم علاقه مند به استفاده مجدد از کدها هستند. هنگام انجام تجزیه و تحلیل بدافزار، تحلیلگران امنیتی به انواع بدافزار و گونه های مختلف آنها فکر می کنند. در واقع، هکرها بی شباهت به دیگر توسعه دهندگان نیستند.
هدف سازندگان بدافزار این است که کارآمد کار کنند. به جای ایجاد یک نرم افزار جدید با هزاران خط کد، به دنبال دستوراتی هستند تا آنها را در نرم افزار خود اعمال کنند که این می تواند برای مهاجمان غیر منطقی باشد و راهی برای ردیابی بدافزار ایجاد می کند، اما مانع از تلاش آنها نمی شود. زیرا باعث صرفه جویی در زمان آنها برای انجام مهندسی اجتماعی و شیوه های فیشینگ و ایجاد یک محصول با قدرت تهاجم بیشتر می شود.
نمونه هایی از استفاده مجدد از کدها:
Shadow Brokers: این گروه هکرکد منبع اکسپلویت دزدیده شده از انجمن امنیت ملی را منتشر می کنند. این کد شامل چندین آسیبپذیری روز صفر در سرویس اشتراکگذاری فایل MS می باشد و توسط مهاجمان به حملات باج افزار معروف WannaCry و NotPetya تغییر کاربری داده شد.
EDA2 و Hidden Tear: در مورد دیگری، یک محقق امنیتی از ترکیه دو نوع باج افزار Eda2 و Hidden Tear را برای اهداف آموزشی منتشر کرد. مهاجمان به سرعت از این فرصت استفاده کردند و از این کد منبع برای ایجاد انواع باج افزار استفاده کردند.
مهاجمان از روش های حمله مجدد هم استفاده می کنند.
هکرها نه تنها از کدها مجددا استفاده می کنند بلکه از تکنیک ها، روش ها و شیوه های حمله نیز دوباره استفاده می کنند. به هر حال، اگر یک حمله خاص در گذشته به خوبی جواب داده است، چرا دوباره از آن استفاده نکنند؟ این روش بیشتر در بین هکرهای مبتدی رایج است.آنها از روش های حمله مجدد برای جبران ضعف های مهارتی خود استفاده می کنند.
هکرهای باتجربه همچنین در صورت موثر بودن از روش ها مجددا استفاده می کنند. به عنوان مثال، استفاده از ماکروهای مخرب آفیس. تاکتیک های مهندسی اجتماعی و فیشینگ نیز راهکاری پر طرفدار برای هکرهاست. درواقع مهاجمان از موفقیت دیگران برای نقض بیشتر یا سوء استفاده از کدها مجددا استفاده می کنند.
چگونه به وسیله تجزیه و تحلیل ژنتیکی بدافزار کدهایی که مجددا استفاده می شود را شناسایی می کنند؟
تجزیه و تحلیل بدافزار ها روشی حیاتی برای پاسخگویی موثر به حوادث امنیتی است. یک رویکرد نوآورانه برای تجزیه و تحلیل خودکار بدافزارها آنالیز ژنتیکی بدافزار است. هدف این فناوری ، ارائه اطلاعات دقیق در مورد هر فایل مشکوک به بدافزار است.
تجزیه و تحلیل ژنتیکی بدافزار چیست؟
مهاجمان از کدهای نوشته شده توسط دیگران دوباره استفاده می کنند. بنابراین هدف جستجو برای کدهایی است که مجددا استفاده شده است تا بتوانند به کمک آن تشخیص دهند. جستجوی شباهت ها تاکتیکی است که برای تجزیه و تحلیل تهدیدات موفق بوده است. به عنوان مثال، باجافزار WannaCry که در بالا ذکر شد حاوی کدهای مربوط به گروه تهدید Lazarus است.
مشکل این روش این است که انجام آن به صورت دستی زمان بر است و به تخصص بالایی نیاز دارد. در نتیجه فقط می توان آن را برای تعداد محدودی از فایل ها اعمال کرد.
تجزیه و تحلیل ژنتیکی بدافزار این مشکلات را با خودکارسازی و مقیاسبندی فرآیند حل میکند. این فایل ها را با پایگاه داده ای از نرم افزارهای قابل اعتماد و مخرب مقایسه می کند و از آنجایی که فرآیند خودکار است، فقط چند ثانیه طول می کشد.
اما به چه صورت کار می کنند؟
در ابتدا، سیستم فایلها را تجزیه و از هم جدا میکند، سپس کد را به توکنهای قابل جستجو تبدیل میکند. مانند توکنسازی مورد استفاده در موتورهای جستجو، الگوریتم کد را به قطعات کوچکتر تقسیم میکند و نام های متغیر و غیرضروری را نادیده میگیرد.
پس از استخراج توکن ها، آنها را با یک پایگاه داده کد مقایسه می کند تا کدهایی که مجددا استفاده شده است را در بین آنها شناسایی کند. پایگاه داده ژنوم به طور مداوم با بدافزار فهرست شده بروز می شود.
هنگامی که یک بدافزار جدید وارد پایگاه داده می شود، برای جلوگیری از استفاده مجدد مهاجمان از کد، علامت گذاری می شود. تیمهای امنیتی همچنین میتوانند از تحلیل ژنتیکی بدافزار برای کشف شباهتها در سایر نرمافزارهای مشکوک مانند ابرداده، رشتهها، منابع و موارد دیگر استفاده کنند.
قابلیت های تجزیه و تحلیل ژنتیکی بدافزار به شناسایی محدود نمی شود. هنگامی که سیستم بدافزار را شناسایی کرد، امضاهای YARA را بر اساس کد ایجاد می کند. این امضاها می توانند با شناسایی انواع بدافزارها، حفاظت را افزایش دهند.
خلاصه:
به دلیل پیچیدگی روزافزون حملات بدافزاری، شناسایی بدافزار به یک کار دشوارتر تبدیل شده است. رویکرد شناسایی کد استفاده مجدد برای شناسایی بدافزارها، اگرچه هوشمندانه بود، اما بسیار وقت گیر بود و در نهایت کارایی نداشت. اما با خودکار کردن این فرآیند و تقویت آن، فناوریهای جدید مانند تجزیه و تحلیل ژنتیکی بدافزار رویکرد بهبود یافتهای را برای تجزیه و تحلیل بدافزار ارائه میدهند.
با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت
منبع:
